понедельник, 15 июня 2015 г.

В России тоже утекут все данные о чиновниках?

    Недавний хак Кадрового управления США (U.S. Office of Personnel Management) поставил логичный вопрос - А вероятно ли такое в России?

    Проверим наш вопрос доказательством противного, т.е. что хак соответствующей базы данных правительства невозможен. В качестве контекста примем следующие предпосылки:
  1. Под данной базой данных (БДЧ) подразумеваем как гипотетическую единую БДЧ правительства, так и совокупность гражданских БДЧ крупнейших государственных организаций в сферах внутренних дел, социального обеспечения, финансового регулирования и т.п.
  2. Привлекательность БДЧ России не меньше привлекательности БДЧ США (вариант "Джо неуловим потому что он никому не нужен" не рассматривается).
  3. БДЧ России не содержат государственную тайну.
  4. США и Россия примерно одинаково обеспечены человеческим капиталом по ИБ БДЧ и имеют примерно одинаковую зрелость процессов ИБ БДЧ.
  5. Из-за проблем экономики уровень ИБ БДЧ не менялся существенным образом с 2013
   Очевидно, что данные предпосылки подводят нас к сравнению уровней ИБ БДЧ США и России, в частности обеспеченности технологиями, как А) измеримого показателя Б) довольно прозрачного показателя (госзакупки в России этому способствуют. Может быть, в процессе сравнения станет понятно, что какая-то из предпосылок в корне не верна. Причем, уровень ИБ БДЧ США (фактически уровень ИБ OPM) должен быть ниже чем уровень ИБ БДЧ России.
    И тут мы сразу попадаем в ловушку - в текущей ситуации уровень ИБ БДЧ России не может быть выше уровня ИБ БДЧ США, в силу целого ряда причин:

  1. По сравнению с США это не нужно государственным организациям.
  2. В России нет единой точки ответственности за ИБ (в США это CISO, U.S. OMB).
  3. Уровень ИБ OPM очень и очень высок.
   Так почему же "это не нужно государственным организациям"? Банально, отчеты по аудиту ИБ не доступы для широкой публики, организации не обязаны сообщать об утечках, и нет открытых данных по метрикам ИБ государственных организаций.
    Проанализировав отчет по аудиту ИБ  OPM (майнд-карты в подвале истории) приведу только одну иллюстрацию уровня ИБ OPM - "Недостаток" - SIEM OPM собирает данные только из 80% целевых систем". Тем временем согласно исследованию закупок ведомств России SIEM закупались в объемах настолько меньших чем все подряд СЗИ от НСД, VPN, и прочие commodity-системы, что даже не были выделены в отдельную категорию.
    Если уж такая мощная программа ИБ как OPM оказалась недостаточной, то что говорить о организациях, которым не нужно отчитываться о инцидентах? Скорее всего в сетях давно сидят трояны, и качают все что необходимо. И не нужно "закладок" в иностранном ПО, если достаточно сделать небольшую атаку целевого фишинга и похитить всю интересующую информацию.
    Отвечая на логичный вопрос "И что делать?" предлагаю задуматься о повышении открытости отрасли. Лишь тогда когда отрасль гражданской ИБ будет открытой и прозрачной организации будут заинтересованы заниматься обеспечением ИБ вверенной им информации по настоящему. Лучшие практики США по открытой публикации результатов аудита, метрик ИБ и оповещений о инцидентах могут помочь любой стране улучшить состояние ИБ.

Майндкарты по ИБ OPM




Источники:
  1. Отчет аудита ИБ OPM
  2. Исследование ИБ-закупок ведомств России
  3. Метрики ИБ ФОИВ США

    

Комментариев нет:

Отправить комментарий